Seit Mai 2016 ist die europäische Datenschutzgrundverordnung (DSGVO) in Kraft getreten, seit Mai 2018 findet sie Anwendung. Viele Kommunen haben inzwischen festgestellt, dass juristisches und technisches Fachwissen notwendig ist, um die Umsetzung der DSGVO-Vorgaben zu bewerkstelligen und nehmen deshalb externe Hilfe in Anspruch, z.B. bei der Gesellschaft für kommunalen Datenschutz (GKDS), einer Tochterfirma der AKDB.
Doch nun kommen zum Stichtag 1. Januar 2020 zusätzliche Herausforderungen auf die Kommunen zu. Das Gesetz über die elektronische Verwaltung in Bayern (BayEGovG) schreibt nämlich vor, dass Kommunen und öffentliche Stellen bis zu diesem Zeitpunkt zum Schutz ihrer IT-Systeme ein Informationssicherheitskonzept erstellen und einführen müssen.
Kein Datenschutz ohne IT-Sicherheit
Datenschutz schützt die Daten von natürlichen Personen, zum Beispiel die Meldedaten von Bürgern und ihre Sozial- und Gesundheitsdaten. Die Informationssicherheit ist zuständig zum einen für den Schutz aller Informationen in einer Organisation, auch derjenigen ohne Personenbezug, wie etwa Plan- oder Buchhaltungsdaten, und zum anderen für den Schutz der IT-Systeme. In der Praxis sind personenbezogene Daten und andere Informationen kaum mehr trennbar, zumal alle auf den gleichen Servern gespeichert und verarbeitet werden. Datenschutz und Informationssicherheit vermischen sich daher. Auch besitzen sie gemeinsame Schutzziele, nämlich die Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit der Daten. Sie haben eine gemeinsame Schnittmenge: die technischen und organisatorischen Maßnahmen, kurz TOM genannt. Dabei handelt es sich um Maßnahmen, die getroffen werden müssen, um ein dem Risiko angemessenes Schutzniveau der Daten zu gewährleisten. Wäre es nicht zielführend, Datenschutz und Informationssicherheit gemeinsam umzusetzen?
Weniger Aufwand durch gemeinsame Prozesse
Dafür bietet die Gesellschaft für kommunalen Datenschutz (GKDS) eine Lösung an. Sie unterstützt und berät ihre Kunden nicht nur bei der Umsetzung der Vorgaben der DSGVO, sondern auch beim Aufbau eines Informationssicherheitskonzepts. Basis des Informationssicherheitskonzepts der GKDS ist die Arbeitshilfe der Innovationsstiftung Bayerische Kommune, die sich gezielt an kommunale Institutionen richtet und diesen erlaubt, mit vertretbarem Aufwand ein einfaches Informationssicherheitskonzept einzuführen und im Arbeitsalltag kontinuierlich zu betreiben.
Dabei ergeben sich folgende Einsparmöglichkeiten:
- Die Ist-Analyse zu Datenschutz und Informationssicherheit kann gemeinsam erledigt werden.
- Der Doppelaufwand bei Schulung und Sensibilisierung entfällt.
- Es gibt einen Ansprechpartner für beide Themen.
- Eine gemeinsame Plattform verbessert die Auffindbarkeit von Informationen.
- Ein zentrales Ablagesystem erleichtert den Zugriff auf alle relevanten Dokumente.
Schritt für Schritt zu Datenschutz und Informationssicherheit
Die GKDS-Experten ermitteln als erstes die Ist-Situation vor Ort. Ein Bericht wird erstellt, der alle relevanten Schwachstellen sowohl im Datenschutz als auch in der Informationssicherheit aufzeigt. Schritt für Schritt setzt die GKDS gemeinsam mit ihren Kunden die Vorgaben der DSGVO um und unterstützt bei der Erstellung eines Informationssicherheitskonzepts. Die Kommunikation erfolgt über eine verschlüsselte ISO 27001-zertifizierte Plattform, die durch ein zentrales Ablagesystem einen schnellen Zugriff auf alle relevanten Dokumente ermöglicht. Darüber hinaus stellt die GKDS ihren Kunden einen persönlichen Ansprechpartner zur Seite.
Beim Zieleinlauf ist ein definiertes Datenschutzniveau erreicht, das den Rechenschaftspflichten gegenüber den Aufsichtsbehörden standhält, und ein erstes Informationssicherheitskonzept auf Basis der Arbeitshilfe der Innovationsstiftung Bayerische Kommune vorhanden, das später auch als Grundlage für eine Zertifizierung dienen kann.